01[1]

Spotify: 300.000 account hackerati con un attacco di credential stuffing

martedì 24 novembre 2020
Spotify: 300.000 account hackerati con un attacco di credential stuffing

E' già capitato molte volte, nel corso degli ultimi anni: utenti Spotify riscontrano difficoltà di accesso ai propri account, password cambiate, comparsa e scomparsa di playlist, aggiunta di utenti da altri paesi negli account.

La nuova ondata di segnalazioni (ma non è stata affatto l'ultima) di questo tipo c'è stata questa estate, quando molteplici utenti hanno iniziato a segnare stranezze, malfunzionamenti, impossibilità di accedere ai propri account. C'è una (unica) causa scatenante?

Forse si: un nuovo report ha rivelato che i cybercriminali stanno attivamente utilizzando un database contenente oltre 380 milioni di record, comprese credenziali di login, per accedere agli account. Database che i ricercatori hanno individuato e acceduto poiché totalmente esposto e contenente informazioni non criptate.

L'attacco di "credential stuffing"
Uno degli attacchi comunemente utilizzati contro gli account è detto di "credential stuffing" e, stranamente, non prevede alcun particolare accorgimento: con un attacco di credential stuffing, semplicemente, un attaccante fa uso di grandi combinazioni di credenziali (utenti e password) già trapelate in precedenti violazioni di sicurezza. Molto spesso questa tecnica funziona perché i legittimi proprietari non sono a conoscenza della violazione del proprio account, ne tantomeno che i propri dati siano in vendita nel dark web in database contenenti i dati di altri migliaia di utenti. Insomma, l'unica fatica degli attaccanti in questo caso, è quella di entrare in possesso di questi database e accedere agli account online.

Il report del quale abbiamo accennato qualche riga fa è stato pubblicato qualche giorno fa da VPNMentor e dettaglia il ritrovamento di un database esposto online contenente oltre 380 milioni di username e password usate attivamente in attacchi di credential stuffing contro Spotify.

Ogni record contiene un nome di login (solitamente l'indirizzo email), una password e perfino se le credenziali siano effettivamente in grado di eseguire login con successo nel relativo account.

Ovviamente l'origine di questo specifico database non è nota ma, in generale, questi dati sono ottenuti tramite data breach o estese "collections" solitamente diffuse da altri cyber attaccanti gratuitamente o a pagamento. Secondo i ricercatori che hanno analizzato il database, questo consente l'accesso ad un numero di account Spotify che oscilla tra i 300.00 e i 350.000.

VPMMentor ha contattato Spotify per ragguagliare l'azienda sul problema nel Luglio 2020: Spotify ha immediatamente risposto avviando un cosiddetto "rolling reset" delle password di tutti gli account riguardati dal problema. Il risultato è che gran parte delle informazioni contenute in quel database sono ormai obsolete e inutili.

A onore del vero, e per sgravare Spotify di colpe che non gli spettano, il database esposto non è stato composto con dati violati da Spotify stesso, ma da altri attacchi collaterali: insomma, l'origine di tali dati è sconosciuta. A Spotify si può solo imputare una mancanza: infatti non supporta l'autenticazione multi fattore che, in un caso simile, avrebbe potuto impedire l'accesso da parte di terzi non autorizzati su una parte consistente degli account hackerati.

Per gli utenti Spotify è consigliabile procedere ad un cambio password se, negli ultimi mesi, si sono verificati strani malfunzionamenti. Consigliamo anche il servizio https://haveibeenpwned.com/, dove è possibile verificare se il proprio indirizzo email risulti in database esposti o venduti nel dark web.

01[1]

Nuovo malware per Android sfrutta il nome di Immuni: dalle indagini emerge un dominio pieno di app fake

lunedì 23 novembre 2020
Nuovo malware per Android sfrutta il nome di Immuni: dalle indagini emerge un dominio pieno di app fake

Questa storia inizia così, con le segnalazioni di alcuni utenti rimasti vittime di un attacco malware mentre tentavano di scaricare Immuni, l'app per il contact tracing scelta dal Governo italiano.

Così gli esperti del Cert-AgID in collaborazione con D3Lab hanno avviato le indagini per poter studiare il malware, le modalità di diffusione e risolvere il problema annullando i rischi: inutile infatti dire quanto possa essere estremamente problematica ogni singola app fake Immuni, ovunque essa sia messa in download, dato non solo l'importanza dell'app stessa ma anche della campagna comunicativa continua per incentivare i download.

Nel corso delle indagini è stato individuato un sito fake che riproduce il repository del Google Store: il sito è ben fatto e rende piuttosto difficile, per utenti poco avvezzi, rendersi conto di stare navigando su una pagina falsa. Nell'immagine sotto è visibile la pagina di download della versione fake di Immuni.

Fonte: https://cert-agid.gov.it/

La somiglianza con Google Play, a parte poche differenze, è lampante. Anche l'URL rende difficile una delle più comuni analisi che dovremmo compiere quando navighiamo su un sito web, ovvero la verifica che l'URL del sito sia quello legittimo e non solo "simile". In questo caso l'operazione è assai complessa, perché il dominio che ospita la repository è play[.]goooogle[.]service: tale dominio risulta essere stato registrato solo 8 giorni fa e, esattamente come accade spesso per le pagine fake usate negli attacchi di phishing, usa certificati Let's Encrypt (authority che rilascia certificati per il protocollo TLS), che sono emessi gratuitamente per chiunque ne faccia richiesta.

E' analizzando questo dominio che i ricercatori hanno fatto altre importanti scoperte: questa repository ospita e consente il download di molte altre app fake, quasi tutte in ambito banking e pagamenti.

Fonte: https://cert-agid.gov.it/
Come si può vedere, lo stesso dominio ospita app fake di Credem, Intesa San Paolo, InBank, Paypal, eBay, Amazon ecc..

Qualche info in più sull'app fake Immuni
Il Cert-AGiD spiega che l'app fake Immuni si mostra "in quanto fake" soltanto all'avvio, quando, dopo il download e l'installazione, l'utente si trova a visualizzare quella che parrebbe essere un'app di Intesa San Paolo. Il traffico viene indirizzato verso il dominio soofoodoo[.]club, associato all'indirizzo IP

L'app sembra derivare da Anubis, un malware per Android ibrido, con funzionalità di furto dati, keylogger e, in alcune versioni, ransomware. Si concentra principalmente sui dati finanziari, ma anche su credenziali di accesso ai servizi. E' distribuito nella forma del malware as a service, ovvero come malware affittabile online e con tanto di servizio di supporto, messo a disposizione di una rete di affiliati. A questo link gli indicatori di compromissione pubblicati: IoC

Non è la prima volta: Immuni è un cavallo di troia per i cybercriminali
Situazioni simili si sono verificati in tutto il mondo, almeno in ogni stato in cui si è deciso di adottare applicazioni di contact tracing. Riguardo Immuni nello specifico, le campagne di phishing si sono sprecate, così come gli attacchi malware: per fare un esempio, uno degli episodi più significativi è avvenuto tra Maggio e Giugno 2020 (ne abbiamo parlato qui). In quei giorni infatti, una falsa comunicazione email, apparentemente proveniente dalla Federazione Ordini Farmacisti Italiani diffondeva un file chiamato IMMUNI.exe dentro il quale si annidava, in realtà, il ransomware FuckUnicorn.

00[1]

IAPI e sicurezza: quali sono le vulnerabilità più comuni?

mercoledì 18 novembre 2020
API e sicurezza: quali sono le vulnerabilità più comuni?

Una API, Application Programming Interface, fornisce a sviluppatori e proprietari di siti web codice sorgente da applicazioni già esistenti: molto semplicemente li aiuta a velocizzare il proprio lavoro, poiché consente di riutilizzare lo stesso codice per esigenze specifiche, integrandolo nelle funzioni aziendali e nei siti web esistenti per migliorare l'esperienza dell'utente, anziché doverlo scrivere da zero.

Essendo strumenti ormai essenziali per ogni business online sono divenuti, come ogni cosa essenziale, un bersaglio privilegiato per i cyber attaccanti. Disporre del codice necessario per attaccare e violare una API è molto profittevole per un cyber attaccante, perché molto probabilmente potrà eseguire lo stesso attacco in tutti i siti o applicativi che utilizzano quella data API. Ma quali sono le più comuni vulnerabilità presenti nelle API e le modalità con cui solitamente sono attaccate? Quali rischi corrono gli utenti che utilizzano siti web o web app contenenti API?

Code Injection
Questo è uno dei sistemi di attacco contro le API più usato in assoluto, per "requisire" una API e fargli fare ciò che si vuole. Tra i "code injection" più comuni troviamo SQl, XML, RegEX: pezzi di codice sono iniettati nell'API al fine di far eseguire operazioni dannose come la condivisione dei dati sensibili degli utenti, credenziali e password, ma anche per installare malware e spyware sui dispositivi. Solitamente, la presenza della funzione base64_decode all'inizio di uno script è un comune segnale di script injection.

Fonte: https://www.hackread.com
La sicurezza di una API di fronte ad attacchi di questo tipo è verificabile tramite test manuale e controlli intensivi delle query.

Replay Request Attack
Questa vulnerabilità riguarda in modo specifico quelle API che permettono di effettuare richieste a ripetizione e ciò avviene quando un'API non è progettata per proibire ulteriori richieste effettuate dopo che è già stata rifiutata una prima richiesta inaffidabile o insicura. E' in realtà molto comune che le API siano così disegnate: sono si capaci di negare con successo una prima, sospetta richiesta, ma non sono in grado di impedire ad un eventuale attore malintenzionato di effettuare continue e differenti richieste.

Questa tipologia di attacchi di brute-forcing è comunemente usata per sondare le vulnerabilità. E' possibile mitigare i rischi utilizzando l'autenticazione HMAC, usando l'autenticazione a più fattori o usando token di accesso OAuth di minor durata.

Falsa richiesta cross-site (CSRF o XSRF)
Questa tipologia di attacco si verifica quando un attaccante tenta di usare una applicazione web autenticata (come una API) per operazioni quali l'alterazione di un indirizzo email o per l'invio di denaro da un account bancario ad un altro senza che l'utente ne possa venire a conoscenza.

E' una tipologia di attacco ad oggi meno usata, ma che è stata molto popolare per anni: hanno fatto storia gli attacchi Cross-Site Request Forgery (CSRF) contro ING Direct, Youtube, New York Times ecc... accaduti nell'arco di poco tempo, misero gli attaccanti perfino nella condizione di trasferire liberamente soldi.

La modalità più comune tramite la quale le API sono prese di mira con attacchi CSRF prevede l'uso di token generati dal server che vengono inseriti nel codice HTML come "campi nascosti". Questi sono restituiti al server ogni volta che viene effettuata una richiesta, così il server può determinare se una determinata richiesta provenga da una fonte affidabile o meno.

Broken User Authentication
Purtroppo spesso, coloro che creano le API non si preoccupano di assicurarsi del fatto che i meccanismi di autenticazione funzionino correttamente: è strano a dirsi, ma molto spesso le API sono vulnerabili proprio perché viene posta scarsa attenzione al momento dell'autenticazione dell'utente. Al che è gioco facile, per un attaccante, assumere l'identità di un utente autenticato. Ovviamente il protocollo di autenticazione OAuth è molto utile per mitigare i rischi, ma c'è anche un'altra soluzione che viene spessissimo utilizzata dagli sviluppatori, ovvero l'uso del timestamp delle richieste.

Questo può essere aggiunto in un header HTTP personalizzato in ogni richiesta API, obbligando poi il server a comparare il timestamp corrente e quello della richiesta. L'autenticazione sarà valida solo se il server concluderà che entrambi timestamp sono entro un paio di minuti l'uno dall'altro.

01[1]

Il ransomware LockBit colpisce duramente in Italia: cosa è importante sapere?

lunedì 16 novembre 2020
Il ransomware LockBit colpisce duramente in Italia: cosa è importante sapere?

Da qualche giorno ci stanno contattando molte aziende italiane per richiederci assistenza in seguito ad attacchi del ransomware LockBit. Data la situazione e nell'evidenza che il team di cybercriminali che gestisce LockBit ha deciso si colpire in Italia, riteniamo utile fornire alcune informazioni tecniche su questo ransomware.

LockBit è stato individuato in diffusione per la prima volta nel Settembre 2019, ma con un nome differente ovvero "ABCD Ransomware". Ha continuato poi ad essere sviluppato ed affinato divenendo una minaccia malware complessa: le versioni recenti sono passate dall'uso dell'estensione di criptazione .abcd all'estensione di criptazione .lockbit, alla quale si deve il nome attuale del malware. Come tutti i ransomware, il suo unico scopo è quello di criptare i dati presenti in una rete, impedendone così l'accesso ai legittimi proprietari per poter così richiedere in cambio una somma di denaro in riscatto. Al contrario di altri ransomware però, ha sempre preferito colpire aziende ed enti governativi piuttosto che utenti finali.

Come si diffonde
E' piuttosto complesso analizzare il comportamento di LockBit poiché lascia veramente poche tracce utili per eseguire analisi di tipo forense. Si sa che è imparentato per parti di codice e funzionamento con i ransomware LockerGoga e MegaCortex, è che è un RaaS (ransomware as a service), ovvero uno strumento di attacco che chiunque può affittare nel dark web, condividendone i proventi con i gestori e gli affiliati alla rete (per approfondire vedi qui). Si diffonde in tre diverse modalità:

self-spreading, ovvero auto diffusione nella rete bersaglio;
con attacchi mirati, soprattutto email di phishing e spam organizzate secondo i principi dell'ingegneria sociale;
usando tool per la diffusione, come Windows PowerShell o Server Message Block (SMB).
Le capacità di self spreading di LockBit sono molto alte: il ransomware è diretto interamente da processi automatizzati pre impostati, cosa che lo rende una peculiarità nel mondo ransoware, nel quale invece molti malware richiedono di essere indirizzati manualmente (a volta anche per lungo tempo). In concreto, una volta che l'attaccante ha manualmente infettato un singolo host, LockBit è capace di cercare nuovi host accessibili, connettersi ad essi, attaccarli e diffondere ulteriormente l'infezione usando un semplice script.

Altra accortezza che lo rende un ransomware temibile è il fatto che nasconde le proprie operazioni dietro processi e modelli legittimi nativi di Windows, cosa che rende anche più complessa l'individuazione dei file dannosi da parte di eventuali soluzioni di sicurezza per la rete o per gli endpoint.

Stadi di infezione
LockBit prevede 3 stadi di infezione:

exploit;
infiltrazione;
distribuzione.
Nella prima fase, gli attaccanti sfruttando una debolezza della rete per fare irruzione nella rete stessa. La debolezza sfruttata può annidarsi nei software in uso, ma anche nel personale aziendale: spesso l'anello debole della cyber security è, infatti, proprio il fattore umano.

Un esempio di prima fase è visibile sotto: in questo caso l'attacco inizia con una email contenente un allegato dannoso. L'attacco quindi è iniziato da un Internet Information Server che lancia uno script PowerShell remoto richiamando un altro script integrato in un Foglio di Google.

Lo script connette ad un server di comando e controllo per scaricare ed installare un modulo PowerShell che apre una backdoor nel sistema e garantisce la persistenza. Lo script ha anche funzioni di "spionaggio": usa espressioni regolari per individuare nel Registro di Sistema specifici tipi di software. Sotto una lista delle parole chiave usate:

Fonte: https://www.bleepingcomputer.com/
In generale, però, è molto difficile stabilire il punto di accesso iniziale del ransomware, a causa delle scarse tracce che lascia dietro di sé. In alcuni casi i ricercatori sono riusciti a ricostruire che LockBit ha avuto accesso alle reti violando le credenziali di login di servizi VPN obsoleti tramite attacchi a dizionario. Una volta nella rete, il ransomware prepara il terreno affinché il payload dannoso possa essere diffuso a quanti più host possibili.

Nella seconda fase il ransomware cerca di penetrare più in profondità nella rete: in maniera completamente automatizzata, parte dal primo punto di accesso e tenta di individuare e violare tutti gli host connessi alla rete appena violata. In questa fase utilizza moltissimi "tool post-exploitation" ovvero strumenti utili per riuscire ad elevare i privilegi di amministrazione e non incappare nei limiti imposti agli utenti standard.

Nella terza e ultima fase, ottenuto l'accesso a tutta la rete o gran parte di essa, l'eseguibile dannoso viene "spinto" lungo tutta la rete propagandosi a tutte le macchine violate. Il che significa che basta un singolo sistema violato perchè LockBit possa diffondersi in tutta la rete.

Infine il blitz!
Tutte le informazioni che LockBit raccoglie nella prima e nella seconda fase sono usate dagli attaccanti per decidere se il target sia o meno sufficientemente "appetitoso": se il target viene considerato di scarso valore, il ransomware non sarà distribuito nella rete. Se invece gli attaccanti trovano il target sufficientemente interessante, LockBot sarà eseguito automaticamente in memoria entro 5 minuti usando un comando di Windows Management Instrumentation (WMI). L'attacco può passare da un server ad un sistema perché, tra le altre cose, LockBit modifica le impostazioni e le regole del firewall per permettere questa operazione che, normalmente, verrebbe impedita.

Le versioni di LockBit
LockBit, come detto, ha vissuto e vive una costante evoluzione. Sono già tre le varianti di questa famiglia ransomware:

Variante 1 - estensione .abcd
Variante 2 - estensione .lockbit
Variante 3 - estensione .lockbit
LockBit ad ora non ha, purtroppo, soluzione. I nostri partner tecnologici sono impegnati nello studio del codice del malware e delle modalità di attacco, cercando un falla per scardinare l'algoritmo di criptazione o di mitigare il rischio di attacco: aggiorneremo i nostri lettori non appena avremo novità a riguardo.

01+28129[1]

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

giovedì 19 novembre 2020
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 13/11
La scorsa settimana il CERT-AgID ha individuato e analizzato oltre 32 campagne dannose contro utenti italiani. Ben 485 gli indicatori di compromissione pubblicati, disponibili sul sito del CERT-AgID. Sono state analizzate 8 diverse famiglie malware attive nello spazio italiano:

immancabile Ursnif, in diffusione con ben 5 diverse campagne dannose. Tra gli allegati utilizzati troviamo il formato archivio .zip e l'estensione Excel .xls. I temi delle campagne sono stati vari, tra i quali INPS, Mise (a tema Covid), Enel e Delivery, ma gli IoC non sono cambiati;

AgentTesla invece è stato in diffusione con ben 4 diverse campagne tutte in lingua italiana, 3 utilizzando allegati .zip e una con allegato .lha;
Dridex e FormBook sono stati diffusi in tutto con 4 campagne, tutte in lingua inglese fatta eccezione per una campagna di distribuzione di FormBook, unica scritta in italiano. FormBook è diffuso tramite allegati .zip e .r00, mentre Dridex ha utilizzato il classico .zip. E' stata individuata anche una campagna Dridex peculiare, nella quale il malware è stato veicolato con un link che rimanda ad una risorsa .doc;
sporadiche campagne hanno anche diffuso jRAT, ASTesla, QnodeService e Masslogger.

Fonte: https://cert-agid.gov.it/

QNodeService in breve
QNodeService è un trojan piuttosto recente, individuato in diffusione a partire dal Maggio di quest'anno. E' programmato in Node.js, un linguaggio di programmazione usato solitamente per sviluppare per Web Server ed usato in rarissime occasioni per produrre malware. In questo caso, per gli attaccanti, è stata una scelta vincente perchè ha dotato il malware di un'alta probabilità di restare invisibile alle verifiche delle soluzioni antivirus. E' un trojan modulare, quindi può ricevere più "moduli" e ampliare il numero e la tipologia di funzioni dannose che può eseguire. La funzione basilare è quella di rubare le credenziali salvate nei browser.

Le campagne di phishing della settimana 13/11
La campagne di phishing si confermano attive e numerose in Italia: è evidente che il settore bancario è costantemente sotto mira, dato l'alto numero di campagne a tema "Banking" con l'uso illegittimo di loghi e riferimenti di società finanziarie e bancarie legittime. Sono stati individuati anche alcuni tentativi si smishing (phishing via SMS anziché via email).

IntesaSanPaolo e Nexi sono stati i brand più sfruttati in campagne a tema "Banking": IntesaSanPaolo è di nuovo la più bersagliata. Le campagne sono state sia via email che via SMS, in lingua italiana e con collegamento link alla pagina fake;
BNL, Unicredit, MPS e Credit Agricole completano il quadro delle campagne di phishing a tema Banking;
Aruba è stata protagonista (immancabile viene da dire) di una campana di phishing a tema Riattivazione del dominio;
Weebly invece è stata sfruttata per una campagna a tema "Aggiornamenti": l'email conteneva un link a Blogspot che reindirizzava su una pagina di phishing ospitata su un dominio appartenente ad una Pubblica Amministrazione.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Sono stati usati 9 diversi formati di file per veicolare malware: il più utilizzato è indubbiamente il formato archivio .ZIP, seguito al secondo posto ma ben distante dal formato .xls, mentre il formato .jar sta al terzo posto. Altri formati individuati sono stati .doc, .7z. .xslm, .rar, .r00.

Fonte: https://cert-agid.gov.it/

01[1]

I ransomware sbarcano su Linux: ecco RansomExx

martedì 10 novembre 2020
I ransomware sbarcano su Linux: ecco RansomExx

Come ripetiamo spesso, i cyber criminali non riposano mai ed escogitano sempre nuovi metodi di attacco per poter ampliare le cosiddette "superfici di attacco", i bersagli potenziali. Quindi era solo questione di tempo, ma i ransomware sarebbero sicuramente sbarcati su Linux: ed ora è successo. D'altronde, agli attaccanti non è servito altro che prendere consapevolezza di quello che, nel mondo aziendale, è una normalità ovvero l'uso di un ambiente server misto Linux e Windows. Insomma, è ormai da tempo che sono aumentati gli sforzi del cybercrime per creare malware adatti alle versioni Linux, così da garantire la criptazione dei dati indipendentemente dall'ambiente in cui sono ospitati.

RansomExx non è un nuovo ransomware: è già balzato agli onori delle cronache per attacchi di un certo peso, quello contro la rete governativa del Brasile, ma anche contro il Dipartimento dei Trasporti del Texas, contro Konica Minolta, IPG Photonics e altri... Quel che è stato individuato recentemente in diffusione, è che poi costituisce novità, è una nuova versione, chiamata anche Defray777, che ha le capacità di colpire e criptare anche i server Linux.

Stando alle analisi dei ricercatori, quando viene attaccato un server Linux, gli operatori del ransomware distribuiscono anche un eseguibile ELF (Executable and Linkable format) chiamato "svc.new": è questo file il responsabile della criptazione dei file sui sistemi Linux. Nell'eseguibile Linux sono integrati anche una chiave di criptazione pubblica RSA-4096, la nota di riscatto e un'estensione di criptazione che verrà applicata ai file criptati e che prenderà il nome della macchina della vittima.

Fonte: bleepingcomputer.com

A differenza della versione per Windows di questo ransomware, la quale mostra un certo livello di complessità, questa versione per Linux sembra minimale: non contiene alcun codice per terminare processi, neppure quelli di sicurezza, non comunica con alcun server di comando e controllo, non cancella lo spazio libero, tutte funzionalità che invece si trovano nella versione per Windows.

Utenti vittime di questo ransomware hanno anche segnalato che, una volta pagato il riscatto, vengono effettivamente inviati due decryptor diversi, uno per Linux e uno per Windows, con le corrispondenti chiavi private RSA-4096. Il decryptor per Linux si chiama "decryptor64" ed va eseguito tramite terminale come si può vedere sotto

Fabian Wosar di Emsisoft ha dichiarato che RansomExx è stato usato in attacchi contro sistemi Linux già nel Luglio 2020, ma è plausibile pensare che sia stato usato già in tempi antecedenti. Sicuramente non è il primo ransomware per Linux: PureLocker e Snatch sono stati gli apripista dei ransomware nel mondo del pinguino, con scarsi successi però a differenza di RansomExx.

01[1]

Campari e Capcom Ko: il ransomware RagnarLocker irrompe nelle reti aziendali

Geox, Enel, Carraro, Luxottica e ora Campari Group, il colosso italiano dell'aperitivo: i ransomware colpiscono forte in tutto il mondo e ormai dovrà ricredersi, sulla loro pericolosità, anche chi ha sempre pensato che l'Italia fosse in salvo.

L'attacco contro Campari Group è iniziato domenica 1 Novembre: si parla di circa 2TB di dati non criptati rubati, gran parte della rete IT in down e una richiesta di riscatto di 15 milioni di dollari. Down anche i siti web, il sistema di email interno, le linee telefoniche. L'attacco è stato attribuito al gruppo ransomware RagnarLocker: il ricercatore malware che corrisponde al nome di Pancak3 ha infatti condiviso con la redazione della rivista specializzata online ZDNet la nota di riscatto inviata a Campari, dove è esplicitata la tipologia di ransomware utilizzato:

Stando alla nota di riscatto, sarebbero stati rubati 2TB di dati in chiaro tra i quali credenziali bancarie, documenti, contratti, accordi, email, dati personali, proprietà intellettuali ecc...

L'attacco è stato poi confermato Lunedì scorso con un comunicato stampa pubblicato direttamente da Campari Group, poi con una successiva dichiarazione online:

"A seguito delle precedenti comunicazioni sull'attacco malware, Campari Group informa che, nell'ambito del piano di ripristino dei propri sistemi IT, alcuni servizi sono stati progressivamente riavviati dopo il completamento dell’attività di sanificazione e l’installazione di misure di sicurezza aggiuntive. Nel frattempo, altri sistemi rimangono temporaneamente e deliberatamente sospesi od operanti con funzionalità ridotte in più siti, in attesa di essere sanificati o ricostituiti con l’obiettivo di ripristinarne la piena operatività in modo completamente sicuro. Il nostro obiettivo è garantire la continuità operativa nel modo più esteso possibile per le nostre attività nonché quelle dei nostri clienti e controparti di business."

Ovviamente è arrivata, da parte degli attaccanti, anche la minaccia di pubblicazione dei dati rubati dalla rete aziendale in caso di mancato pagamento del riscatto oppure di esplicita volontà di non aprire alcuna trattativa. Gli attaccanti non hanno ancora pubblicato dati, ma sono già comparsi nel dark web, sul sito di leak di RagnarLocker alcuni screenshot della rete interna di Campari e di alcuni documenti aziendali a riprova dell'intrusione. Tra i materiali pubblicato anche il contratto che la Campari ha firmato con l'attore americano Matthew McConaughey per la promozione del brand di bourbon Wild Turkey.
Fonte: https://www.zdnet.com/

Non solo: uno degli screenshot mostra anche un elenco dei dipendenti della filiale statunitense della Campari. L'elenco è contenuto in un file Excel contenente dati estremamente sensibili, compreso il numero di previdenza sociale personale.
Fonte: https://www.bleepingcomputer.com/

Stando a quanto dichiarato dai portavoce di Campari alla stampa, l'azienda ha deciso di ripristinare i sistemi invece che pagare il riscatto. Già Giovedì infatti la Campari aveva spiegato che "stiamo lavorando su un progressivo restart in condizioni di sicurezza".

Violati anche i database di Capcom
Quasi in contemporanea con l'attacco a Campari, anche la rete dello sviluppatore di videogiochi Capcom è stata violata. Capcom, famosa per giochi del calibro di Street Fighter, Resident Evil, Devil May Cry e altri, ha subito il furto di oltre 1 TB dalle reti aziendali delle sedi giapponese, canadese e statunitense. Responsabile dell'attacco, sempre il gruppo di RagnarLocker. La società ha comunicato che l'attacco non ha compromesso i dati degli utenti, mentre ancora non è chiaro l'ammontare del riscatto richiesto.

01+28129[1]

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 06/11
Nel corso della settimana il CERT-AgID ha individuato 25 campagne dannose attive contro utenti italiani. Sono stati 223 gli indicatori di compromissione (IoC) messi a disposizione.

Sei le famiglie di malware individuate in distribuzione:

Dridex è il malware più individuato. E' stato diffuso con due diverse campagne in lingua inglese a tema "Pagamenti". Le email contengono un allegato in formato .xlsm contenente la classica macro dannosa;
AgenTesla è stato diffuso con due diverse campagne, delle quali una scritta in lingua italiana. La campagna in lingua italiana reca con se in allegato due file .exe, mentre quella inglese reca un file .lha compromesso contenente un file eseguibile .exe;
Lokibot, Qrat e Remcos sono le altre famiglie malware individuate in diffusione nel corso di campagne a tema "Pagamenti" e "Informazioni": hanno destato poca preoccupazione, poichè le campagne di diffusione sono state sporadiche. I file usati come allegati erano nei formati .ace, .zip e .ico.

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 06/11
Se si sono stati individuati in circolazione meno tipologie di malware rispetto alle scorse settimane, la stessa cosa non vale per le campagne di phishing, che invece sono state molteplici. Sono state individuate anche campagne di smishing, ovvero phishing via SMS.

Intesa SanPaolo è stato il brand più sfruttato anche in questa settimana, per le campagne a tema "Banking". Uno degli alert più importanti è stato diramato dal ricercatore Andrea Palmieri, che dal suo profilo Twitter ha fatto sapere di aver individuato una pagina in chiaro, praticamente identica a quella di Intesa San Paolo e legata ad alcune delle campagne della scorsa settimana.

Sempre Palmieri ha individuato anche un altro falso sito della banca, contenente anche un APK dannoso per Android: l'applicazione fake è in grado di leggere gli SMS ricevuti sul dispositivo dove è installata. E' molto probabile che sia usata per intercettare le One Time Password, i codici a scadenza che sono richiesti per gli accessi autenticati a doppio fattore.

E' fuori di questione che i clienti della banca IntesaSanPaolo debbano prestare estrema attenzione, poichè l'attenzione dei cybercriminali rispetto a questo brand è costante e continuo. Oltre a Intesa SanPaolo sono state individuate campagne di phishing che sfruttano i brand BNL, Unicredit, BCC e MPS.

Poste invece ha visto svariate campagne truffaldine, una delle quali ha così destato preoccupazione da comportare uno specifico avviso da parte del CERT-AgiD. Alcune di queste campagne sono state a tema "Delivery" e "Informazioni", ma la più insidiosa è stata quella a tema Spid, avviata proprio in concomitanza col click day.
Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco

Sono state individuate 7 diverse tipologie di allegato dannoso collegato alle campagne analizzate: tra gli allegati dannosi più individuati spicca il formato Excel .xlsm, seguito dal formato archivio .zip. A seguire .exe, .iso, .ace, .rar.
Fonte: https://cert-agid.gov.it

01[1]

Emotet e Trickbot hanno un nuovo concorrente: anche il malware Buer debutta come distributore di ransomware

martedì 3 novembre 2020
Emotet e Trickbot hanno un nuovo concorrente: anche il malware Buer debutta come distributore di ransomware

Analizzando alcune recentissime campagne di attacco del ransomware Ryuk, alcuni ricercatori di sicurezza hanno individuato in diffusione il malware Buer: Buer, conosciuto già dall'Agosto 2019, è in affitto nel dark web come malware-as-a-service, in dettaglio con la funzionalità di downloader. Nel dark web è conosciuto come Modular Buer Loader.

Scopo principale è quello di fornire un primo punto di accesso ad una macchina target a successivi attaccanti, compromettendo sistemi Windows dei quali rivendono gli accessi ad altri gruppi di cyber attaccanti. E' esattamente quanto sta già avvenendo con TrickBot e Emotet i quali, oltre a rubare credenziali e dati sensibili, installano sulle macchine infette delle backdoor che poi vengono rivendute ad altri attaccanti, soprattutto gang ransomware: gli attaccanti ransomware quindi non devono occuparsi di cercare un punto di accesso ad una macchina violandone la sicurezza, ma sfruttano accessi già presenti.

La novità recente riguardo a Buer è che se fino a poco tempo fa era usato solo per distribuire malware bancari, oggi è usato anch'esso negli attacchi ransomware: il numero dei malware che collaborano con i ransomware quindi cresce e possiamo definitivamente parlare della triade Emotet, TrickBot e Buer.

Qualche dettaglio tecnico

Buer è un malware modulare scritto in C: usa un server di comando e controllo (C&C) multipiattaforma basato su ASP.NET Core MVC. Il server di comando e controllo permette agli attaccanti di tenere traccia del numero di download riusciti dopo una campagna di diffusione, ma anche di assegnare specifiche attività al malware stesso e ai bot. I sistemi compromessi sono elencati nel server e gestiti a distanza, permettendo agli attaccanti di organizzare attacchi raggruppando i target secondo:
il paese in cui sono;
la versione del SO che eseguono (32 o 64 bit);
il numero dei processori disponibili;
i livelli di autorizzazioni e permissioni assegnati al bot.

Una sezione del pannello di controllo. Fonte: https://news.sophos.com/

Coloro che decidono di operare con Buer, possono acquistarne una propria versione dal sito di affiliazione del malware, accedendo poi al pannello del server C&C da un singolo indirizzo IP. Aggiunta o modifica di indirizzi IP sono a pagamento, come fosse un'espansione del servizio.
Dal pannello di controllo si possono anche pianificare attività, distribuire aggiornamenti ai bot e integrare moduli aggiuntivi per eseguire ulteriori attività dannose.

Come si diffonde
Viene distribuito tramite campagne di malspam, talvolta lanciate anche da servizi online piuttosto popolari oppure sfruttando servizi di archiviazione cloud: in maniera molto simile ad Emotet, l'email contiene sempre un documento contenente script dannosi che l'utente deve abilitare.

Una volta entro un sistema, Buer esegue una serie di controllo per verificare impostazioni di lingua e localizzazione: qualora la macchina bersaglio si trovi in una posizione geografica poco utile, il processo si auto termina e il malware non viene installato.

Alcune operazioni di mitigazione
In attesa che siano aggiornati IoC e firme e che il malware diventi individuabile dalla maggior parte delle soluzioni di sicurezza più diffuse, il CERT-AgID consiglia di:

non abilitare mai macro, a meno che non necessarie e provenienti da soggetti assolutamente affidabili e già conosciuti;
visto che mira principalmente le aziende, è consigliabile prevedere cicli periodici di formazione affinchè il personale sia messo in consapevolezza dei rischi derivanti da spam e phishing e sappia come reagire di fronte ad eventuali rischi;
implementare gli indicatori di compromissione, non appena disponibili, sui propri sistemi di sicurezza.
Chiudere le porte in faccia a questa triade di malware non significa solo salvare i propri dati da data breach, ma anche sbarrare letteralmente le porte ad eventuali attacchi ransomware correlati.

Pubblicato da s-mart Informa a 16:23
Invia tramite email
Postalo sul blog
Condividi su Twitter
Condividi su Facebook
Condividi su Pinterest

01+28129[1]

Una buona notizia: il ransomware Maze cessa le operazioni

venerdì 30 ottobre 2020
Una buona notizia: il ransomware Maze cessa le operazioni

I ransomware sono più numerosi e sempre più complessi, nel funzionamento dell'attacco e nella gestione dell'estorsione ma, ogni tanto, ci sono anche buone notizie e quella di oggi è davvero una Buona Notizia: il temibile ransomware Maze, capofila delle nuove tecniche di estorsione a doppio riscatto (uno per la chiave di decriptazione e uno per non vedere pubblicati online i dati rubati) sta sospendendo le operazioni di attacco.

Maze ha rivoluzionato il mondo dei ransomware
E' significativo che Maze stia sospendendo le operazioni non solo per il livello raggiunto (in termini di importanza delle vittime e di ammontare dei riscatti), ma anche perchè Maze ha apportato modifiche così sostanziali alla metodologia di attacco ransomware da averla, nei fatti rivoluzionata. Ad esempio, prima del debutto di Maze sulla scena del cybercrime nessun gruppo di cybercriminali aveva mai concesso interviste e risposto alle domande poste dai ricercatori di sicurezza e dei giornalisti: tutto è cambiato nel Novembre 2019, quando i gestori di Maze hanno deciso di contattare le redazioni di una serie di riviste online specializzate in cybersecurity, BleepingComputer su tutte, per diffondere la notizia che, per la prima volta, il loro attacco alla Allied Universal non aveva solo comportato la criptazione dei dati, ma anche il loro furto. Per la prima volta cioè, un gruppo di attaccanti ha spiegato alla stampa il proprio attacco, mettendone anche a conoscenza il mondo. In quel caso, da Maze spiegavano che la scelta di contattare le redazioni e informare dell'attacco dipendeva dalla volontà di aumentare la pressione estorsiva contro un'azienda che si stava rifiutando di partecipare alle trattative e pagare il riscatto.

Poco dopo viene pubblicato il sito "Maze news", un sito di leak usato dal gruppo per rendere pubblici, a piccole dosi, i file rubati dalle vittime che si rifiutano di pagare. Ogni leak è addirittura accompagnato da brevi "comunicati stampa" per permettere ai giornalisti di rimanere informati sulle loro attività.

Questa tecnica di doppia estorsione è divenuta poco dopo molto diffusa, adottata da praticamente tutte le principali famiglie ransomware attualmente attive, tra i quali REvil, DoppelPaymer, Ryuk ecc... Un fioccare di siti di leak che ha reso definitivamente standard questa metodologia estorsiva.

Non finisce qui: la rivoluzione di Maze è passata anche da forme di collaborazione con altri gruppi ransomware. Contrariamente a quanto sempre successo in precedenza, ovvero una forma di totale concorrenza e competizione tra diversi gruppi di cyber attaccanti, Maze ha ritenuto più utile darsi una forma di cooperazione con altri attaccanti, mettendo a disposizione il proprio sito di leak, al tempo il più conosciuto e sviluppato. E' così che Maze è stato l'artefice del primo Cartello dei Ransomware della storia: ne abbiamo parlato qui.

Una conta lunghissima di vittime
Complessivamente Maze ha avuto vita breve, ma molto intensa. Durante il suo anno e mezzo di attività Maze ha colpito e ricattato vittime del peso di Canon, Xerox, LG Eletronics ma anche enti pubblici, come la Città di Pensacola e molte molte altre...

L'inizio della fine
Lo scorso mese sono cominciati i primi rumors rispetto ad una possibile interruzione delle operazioni di Maze in una maniera molto simile alla sospensione di quelle di un altro celeberrimo ransomware, GandCrab, messo in pensione dai suoi gestori nel 2019. La sospensione delle operazioni è stata poi confermata a Lawrence Abrams di BleepingComputer in occasione dell'attacco ransomware a Barnes e Noble. Gli attaccanti hanno fatto sapere di aver preso parte all'attacco ransomware compromettendo la rete aziendale e rubando le credenziali dei Windows domain. Hanno quindi passato l'accesso alla rete ai propri affiliati per la distribuzione del ransomware, in virtù di un accordo che prevedeva l'equa distribuzione del riscatto tra affiliati, sviluppatori del ransomware e attaccanti specializzati nell'irruzione nelle reti aziendali. E' nel corso di questa conversazione che gli attaccanti hanno fatto sapere che Maze sta sospendendo le operazioni, avendo già interrotto ogni attacco a partire dal Settembre 2020: nelle prossime settimane gli attaccanti si concentreranno solo a spremere il più possibile le vittime già attaccate e che ancora non hanno ceduto all'estorsione.

Fonte: bleepingcomputer.com
Poco dopo la redazione di BleepingComputer ha chiesto conferma agli attori di Maze della sospensione delle operazioni: "dovreste aspettare il comunicato stampa" hanno risposto.

Ad ora gli unici cambiamenti visibili, oltre all'effettivo stop degli attacchi, si riscontrano nella lista delle vittime presenti sul sito di leak Maze News: tutte le vittime precedenti sono state rimosse dagli elenchi e ne restano soltanto due, oltre a quelle che hanno visto già pubblicati i propri dati in precedenza. Questo è un segno chiaro e inequivocabile dell'imminente sospensione delle operazioni. La speranza adesso è che, come già accaduto in passato, gli attaccanti rendano pubblica la master key, garantendo a tutte le vittime il recupero dei propri file senza alcun riscatto.

La cattiva notizia nella buona notizia
C'è una cattiva notizia anche entro questa buona notizia: gli affiliati di Maze, tutt'altro che intenzionati a rimanere a mani vuote, si stanno spostando verso l'affiliazione ad nuovo ransomware, chiamato Egregor.

Egregor ha iniziato le proprie operazioni proprio a metà Settembre, con uno straordinario tempismo rispetto alla sospensione degli attacchi da parte del gruppo Maze. Il pensiero diffuso tra i ricercatori di sicurezza è che Egregor sia lo stesso software alla base di Maze e Sekhmet, poichè sono usate le stesse note di riscatto, siti di pagamento simili e c'è la condivisione di parte dello stesso codice. Che Maze, Sekhmet ed Egregors siano lo stesso software era comunque già stato confermato in precedenza da altri cybercriminali. L'esperto di ransomware Michael Gillespie ha anche fatto una scoperta che mette chiaramente in relazione questi malware: le vittime di Egregor che pagano il riscatto, ricevono un decryptor che si chiama "Sekhmet Decryptor".

Insomma la sospensione delle operazioni di Maze è una buona notizia, ma non indica affatto il ritiro dalla scena ransomware del gruppo che lo ha sviluppato: piuttosto il gruppo sta semplicemente muovendo verso una nuova operazione ransomware.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy